Linux网络操作系统项目教程 第4版 第4章 配置与管理文件系统.ppt

三、项目实施 任务4-3 使用文件访问控制列表 如果希望对某个指定的用户进行单独的权限控制，就需要用到文件的访问控制列表（Access Control List，ACL）。 1. 使用setfacl命令 setfacl命令用于管理文件的ACL规则，格式为“setfacl [参数] 文件名称”。 使用setfacl命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制。下面来设置用户在/root目录上的权限： [root@Server01 ~]# setfacl -Rm u:yangyun:rwx /root [root@Server01 ~]# su - yangyun [yangyun@Server01 ~]$ cd /root [yangyun@Server01 root]$ ls anaconda-ks.cfg Downloads Pictures Public [yangyun@Server01 root]$ cat anaconda-ks.cfg [yangyun@Server01 root]$ exit 三、项目实施 任务4-3 使用文件访问控制列表 如果希望对某个指定的用户进行单独的权限控制，就需要用到文件的访问控制列表（Access Control List，ACL）。 1. 使用setfacl命令 查看文件权限的最后一个点（.）变成了加号（+），这就意味着该文件已经设置了ACL。 [root@Server01 ~]# ls -ld /root dr-xrwx---+ 14 root root 4096 May 4 2017 /root 三、项目实施 任务4-3 使用文件访问控制列表 如果希望对某个指定的用户进行单独的权限控制，就需要用到文件的访问控制列表（Access Control List，ACL）。 2. 使用getfacl命令 下面使用getfacl命令显示在root管理员家目录上设置的所有ACL信息。 [root@Server01 ~]# getfacl /root etfacl: Removing leading / from absolute path names # file: root # owner: root # group: root user::r-x user:yangyun:rwx group::r-x mask::rwx other::--- 三、项目实施 4.4 企业实战与应用 1．情境及需求 情境：假设系统中有两个账号，分别是alex与arod，这两个账号除了支持自己的组，还共同支持一个名为project的组。如这两个账号需要共同拥有/srv/ahome/目录的开发权，且该目录不允许其他账号进入查阅，请问该目录的权限应如何设定？请先以传统权限说明，再以SGID的功能解析。 目标：了解为何项目开发时，目录最好设定SGID的权限。 前提：多个账号支持同一组，且共同拥有目录的使用权。 需求：需要使用root的身份运行chmod、chgrp等命令，帮用户设定好他们的开发环境。这也是管理员的重要任务之一。 三、项目实施 4.4 企业实战与应用 2．解决方案 （1）制作出这两个账号的相关数据，如下所示。 [root@Server01 ~]# groupadd project ==增加新的组 [root@Server01 ~]# useradd -G project alex ==建立alex账号，且支持project [root@Server01 ~]# useradd -G project arod ==建立arod账号，且支持project [root@Server01 ~]# id alex ==查阅alex账号的属性 uid=1008(alex) gid=1012(alex) 组=1012(alex),1011(project) ==确定有支持！ [root@Server01 ~]# id arod id=1009(arod) gid=1013(arod) 组=1013(arod),1011(project) （2）建立所需要开发的项目目录。 [root@Server01 ~]# mkdir /srv/ahome [root@Server01 ~]# ll -d /srv/ahome drwxr-xr-x 2 root root 4096 Sep 29 22:36/srv/ahome 三、项目实施 4.4 企业实战与应用 2．解决方案 （3）从上面的输出结果可发现alex与arod都不能在该目录内建立文件，因此需要进行权限与属性的修改。由于其他人均不可进入此目录，所以该目录的组应为project